Содержание
Уязвимость Zombie ZIP помогает прятать вредоносный код в ZIP-архивах так, что его не видят почти все популярные антивирусы. Через шесть дней после публикации проблемы 60 из 63 антивирусных пакетов пропускали такой файл, то есть детектировали его меньше чем в 5% случаев.
Трюк не про сложную криптографию или редкий баг в ядре. Он держится на том, что антивирусы доверяют метаданным архива, а ZIP может «соврать» о том, как упакованы данные.
Как работает Zombie ZIP: архив врёт в заголовке
В начале ZIP лежит заголовок. В нём записано, что внутри и каким методом это сжато. В Zombie ZIP архив формально заявляет, что данные не сжаты, но реально содержит сжатый блок.
Для многих антивирусов это выглядит как поток случайных байтов. Сигнатуры не совпадают, эвристика молчит, файл проходит дальше по цепочке. В описании техники даже всплыла фраза из Westworld: «It doesn’t look like anything to me» — «это не похоже ни на что».
На практике это означает простую вещь: если ваш почтовый шлюз, EDR или антивирус на рабочей станции полагается на стандартную распаковку и проверку, ZIP с подменёнными полями может пройти как «чистый».
Почему 7-Zip и WinRAR не распакуют, но малварь всё равно запустят
У такого архива есть побочный эффект: он технически повреждён. Поэтому обычные архиваторы вроде 7-Zip или WinRAR чаще всего не смогут его извлечь.
Но это не спасает. К архиву легко добавить маленькую программу-загрузчик, которая «понимает» несовпадение в заголовке и достаёт реальное содержимое. И уже там может лежать полезная нагрузка с малварью.
Исследователь выложил proof-of-concept на Python: загрузчик занимает примерно дюжину строк кода. То есть порог входа для злоумышленников низкий, а эффект — массовый.
Почему антивирусам трудно закрыть дыру без лавины ложных срабатываний
Кажется логичным: «ловите загрузчики, которые распаковывают странные ZIP». Но в реальности распаковка ZIP — бытовая операция для софта. Её делают игры, лаунчеры, корпоративные клиенты, апдейтеры и скрипты администрирования.
Если антивирус начнёт агрессивно банить такие сценарии, он рискует получить огромный объём false positive. Поэтому индустрии придётся найти баланс: научиться корректно разбирать такие архивы и проверять содержимое, не ломая легитимные процессы.
Пока производители защитных решений догоняют, системным администраторам советуют относиться к ZIP-файлам в трафике с повышенной осторожностью. Для инцидент-реагирования и трекинга уже есть идентификаторы: CVE-2026-0866 и бюллетень CERT VU#976247.
Полезные ссылки: CERT VU#976247, CVE-2026-0866, репозиторий Zombie ZIP.
